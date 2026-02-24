Наряду с киберпреступниками, которые ищут уязвимые места для выгоды или вреда, работают и так называемые белые хакеры – специалисты, тестирующие системы легально и с согласия владельца. Они используют те же инструменты и методы, но с противоположной целью – сделать цифровую инфраструктуру устойчивой, а не уязвимой.

В специально созданной для тестирования среде в рамках Kyiv International Cyber Resilience Forum 2026, состоявшегося в феврале, команда белых хакеров проверила кибербезопасность маркетплейса вооружения на платформе DOT-Chain Defence Агентства оборонных закупок ДОТ. Это был контролируемый формат, где участники работали на отдельно развернутой среде с тестовыми данными и с доступом ко всем функциям. Организаторы с самого начала отмечали безопасность процесса – так, чтобы не сломать работающие сервисы, одновременно увидеть реальные слабые места.

Тестирование происходило в рамках специальной программы Bug Bash – формата, в котором каждая найденная уязвимость оценивается по шкале критичности, а баллы затем конвертируются в долю призового фонда. По словам одного из организаторов, это позволяет сбалансировать мотивацию участников и эффективно распределить вознаграждения среди тех, кто нашел наиболее существенные недостатки.

24 Канал поговорил с победителем соревнований Богданом Коржинским и рассказывает, кто такие "белые хакеры" и в чем преимущество украинцев в этой роли.

Кто такие белые хакеры, что и для чего они проверяли?

Участники мероприятия, которые также называют себя "хантерами", работали в изолированной среде, имитирующей реальный продакшн-сервис.

Максим Грабарь, представитель отдела информационной безопасности DOT, объясняет: тестовая среда открыта только для специально допущенных тестировщиков, и в ней они могут работать со всеми функциями сервиса так, будто это реальный продукт. По его словам, это дает возможность одновременно оценить логику, функциональность и безопасность сервисов, не рискуя утечкой реальных данных.



Система оценивания работала по трем уровням: один балл – средний, три – высокий и пять – критический. Эти баллы суммировались, и призовой фонд распределялся пропорционально результатам каждого "хантера". Как говорит организатор, модель предусматривает несколько подходов к бюджету: первые дни действуют одни ограничения, а потом те, кто продолжает, работают уже в других условиях, имея возможность глубже проработать сложные уязвимости.

В целом систему тестировали более 20 участников, часть которых работала онлайн. Организаторы также подчеркнули, что таких специалистов проверяют соответствующие службы, чтобы в тестировании участвовали именно этичные хакеры – те, кто действует в рамках согласованного скоупа и готов к ответственному раскрытию.



Победители получили сертификаты от организаторов на главной сцене форума. Среди них:

первое место, Богдан Коржинский – 300 000 гривен;

второе место, Василий Спачинский – 125 000 гривен;

третье место, Иван Слодзик – 75 000 гривен.

Взгляд изнутри: какие преимущества украинских хантеров?

Богдан Коржинский, который победил на соревнованиях, рассказал 24 каналу, что его путь в белое хакерство начался с интереса к внутренней логике сложных цифровых систем – не только к коду, но и к тому, как они спроектированы и где могут давать сбой. Со временем это стало частью профессиональной деятельности.

Мой путь в сферу этичного хакинга начался с классического технического интереса к тому, как работают сложные цифровые системы и где в них возникают логические или архитектурные ошибки,

– говорит он.

По словам Богдана, тестирование – это не соревнование за количество найденных ошибок:

Тестирование для меня – это не просто "охота на уязвимости", а инструмент повышения реальной устойчивости украинских диджитал-систем.

Он подчеркивает, что выбирает программы сознательно – учитывая общественную значимость ресурса, прозрачность правил и четко определенный скоуп тестирования, а также на готовность организации оперативно взаимодействовать и исправлять проблемы.



Коржинский отмечает, что государственные ресурсы имеют особый вес, поскольку обслуживают критические процессы. Сейчас он участвует в тестировании государственных ресурсов ГП МОУ "Агентство оборонных закупок" и ГП "Прозорро" в рамках Bug Bash 2026, который проходил во время Kyiv International Cyber Resilience Forum на платформе Bugstream. Формат, по его словам, предусматривал четко определенные правила взаимодействия и контролируемый процесс поиска уязвимостей.

Он также объясняет, что технически разница между этичными хакерами и злоумышленниками минимальна.

На уровне технологий разницы почти нет. Используются те же методы анализа, те же инструменты и подходы,

– говорит он.

В то же время ключевая граница проходит в правовой плоскости и намерениях: "Этичный хакер тестирует систему с согласия владельца, чтобы сделать ее сильнее, и сообщает о проблеме ответственно".

Зато киберпреступник, по словам белого хакера, ищет способ использовать уязвимость для выгоды или нанести вред.

Коржинский отмечает, что переходы между этими сферами возможны: часть специалистов с глубокими техническими знаниями сознательно выбирает легальный формат работы через bug bounty и bug bash программы, но существуют и случаи, когда те же компетенции используют незаконно.

Я периодически приобщаюсь к украинским государственным инициативам, а также к мировым в частности тестировал: IBM, Toyota, Ford, U.S. Dept Of Defense, Yahoo, Shopify, OpenAI, Snapchat, Vimeo, Cloudflare, Starbucks, Xiaomi, General Motors, Malwarebytes, Samsung, Fortinet, Privatbank, Fuib, Palo Alto Software и других компаний,

– перечисляет Богдан.

Отдельно он определяет преимущества украинских хантеров, сформированные работой в условиях постоянной киберугрозы. Среди них:

Практический опыт в сложной среде – работа с государственными, финансовыми и критическими системами.

– работа с государственными, финансовыми и критическими системами. Глубокое понимание бизнес-логики – способность находить не только технические, но и логические уязвимости.

– способность находить не только технические, но и логические уязвимости. Системность мышления – анализ не только через автоматизированные инструменты, но и через архитектуру и процессы.

– анализ не только через автоматизированные инструменты, но и через архитектуру и процессы. Высокая адаптивность – быстрая реакция и эффективная работа в условиях повышенной интенсивности киберугроз.

"Работа в условиях высокой интенсивности киберугроз формирует другую скорость мышления и ответственности", – добавляет он.

Именно сочетание технической глубины, практики и системного анализа делает украинских специалистов конкурентными как в государственных инициативах, так и в международных программах тестирования.